遗留IT系统如何走出网络安全困境？.docxVIP

遗留IT系统如何走出网络安全困境？ 遗留系统很容易出现中断和错误，易受网络入侵的影响，并且随着时间的推移其修复成本越来越高，维护也越来越困难。 前言 新冠疫情在美国肆虐，成千上万的美国民众因出行限制而失业，迫切需要政府的失业救济金来维持基本的生存和生活。然而，不幸地是，美国19个州出现了严重的失业申请延误状况，究其原因在于联邦和地方州的失业信息系统过时和不兼容。这些系统大多可以追溯到20世纪80年代，有的甚至可以追溯到更久远的年代。这些过时和不兼容的信息系统通常被称为遗留系统。 尽管目前尚没有关于“遗留系统”的正式定义，但其通常被理解为在某种程度上已经过时的关键信息系统。通常具有以下几个特点： 无法支持未来业务运营； 相关应用程序、操作系统或硬件供应商不再提供支持； 系统架构可能因脆弱性或复杂性不适合升级或修复的； 或者实现细节无从获知。 遗留系统很容易出现中断和错误，易受网络入侵的影响，并且随着时间的推移其修复成本越来越高，维护也越来越困难。但令人惊讶的是，人们在平时很少关注这些过时的遗留信息系统，即使美国政府每年都在这些系统上花费数千亿美元。 正如传奇投资者沃伦?巴菲特（Warren Buffett）曾经说过的：“只有当潮水退去时，你才知道谁在裸泳。”这场新冠大流行已经成为一股强大的退潮，暴露了政府对遗留系统的过度依赖。然而，政府并不是唯一在遗留系统重压下挣扎的组织，航空公司、银行、保险公司以及其他商业实体组织同样面临着遗留系统的问题。 尽管新冠疫情暴露了依赖遗留系统提供基本服务的严重后果，但不幸的是，这种依赖连同它不断增加的成本，在后疫情时代的很长一段时间内仍将伴随着我们。单就美国政府而言，即使国会能够协调一致且相关措施得到良好的执行，也需要几十年的时间才能取代数千个现有的遗留系统。并且随着时间的推移，当前的信息系统也将会成为遗留系统，它们本身也需要更换。此外，鉴于当前新冠疫情对预算的影响，未来政府部门用于遗留系统现代化的资金可能更少。 物联网时代的来临，与遗留系统相关的问题只会随着物联网的成熟而恶化。物联网设备被大量连接到传统的信息系统上，使得这些信息系统的更换和现代化变得更加困难。就如同现在的遗留系统一样，只要这些物联网设备能够继续工作，即使供应商不再提供支持也不会被替换，最终这些物联网设备也将会成为遗留的设备。大量过时但仍在运行的物联网设备已经构成了潜在的网络安全风险，它们在被部署时往往没有考虑基本的网络安全需求，这种短视将会造成损失。例如，对网络安全的担忧已经迫使美国食品和药物管理局召回能够植入人体的心脏起搏器和胰岛素泵，美国国家安全局对物联网智能家具等互联网产品也发出了警告。 想象一下，不远的未来将会有数千万的物联网设备深深地嵌入到了政府、企业、学校、医院、工厂、家庭以及人体之中。在这样一个世界里，如果物联网设备的网络安全或技术缺陷没有得到修复，仍然与几乎不受供应商支持的遗留系统相连，这种对于相互关联的遗留系统的普遍依赖，将创造出比埃杰顿的暮光世界更加阴暗的东西。 1、遗留系统的问题 尽管遗留系统面临着诸多问题，但以数据泄露和勒索攻击为代表的网络安全问题以及运营和维护成本问题最为突出。 1.1 数据泄露问题 维护不善的遗留系统极易出现数据泄露问题。在上世纪70年代，信用报告机构Equifax公司为处理消费者纠纷开发了一个自动消费者访谈系统（Automated Consumer Interview System），该公司因系统的复杂性未能修补其中的一个关键漏洞，这一漏洞在2017年导致1.46亿人的敏感信息泄露。 1.2 勒索攻击问题 过时的遗留系统极易遭遇勒索软件攻击。勒索软件攻击的网络入侵者在侵入关键信息系统后会对系统内的所有数据进行加密，直到支付赎金。在过去两年里，勒索软件袭击了美国亚特兰大和巴尔的摩的城市以及佛罗里达州的里维埃拉海滩和湖城的两个城市。后两个城市同意分别向攻击者支付60万美元和50万美元。此外，还有数十个州和地方政府，以及学校系统和医院，都经历过勒索软件攻击。 1.3 运营成本问题 首先，倘若遗留系统得到很好地维护，没有遇到数据泄露和勒索攻击问题，但企业和组织需要面对遗留系统不断攀升的运营和维护成本。例如，美国政府问责局最近的一份报告发现，美国政府在2019财年的900亿美元开支中，近80%用于现有信息系统的运行和维护。此外，在美国政府问责局详细审查的7000项联邦信息技术投资中，有5233项将所有资金用于运营和维护。 其次，对遗留系统的运营和维护成本间接地限制了用于信息系统现代化的预算投入。从2010财年到2017财年，美国政府问责局用于现有信息系统的运营和维护支出增长了9%，与此同时，用于信息系统现代化的支出减少了73亿美元。专门为政府和商业企业提供信息系统支持的国际公司CAI的创始人兼